重构人生

外观

什么是 CSP(内容安全策略 Content Security Policy)?如何使用?

约 1209 字大约 4 分钟

2025-03-15

一、概念

内容安全策略(Content Security Policy,CSP)是一种用于增强网页安全性的机制,旨在防止跨站脚本攻击(XSS)、数据注入攻击等安全威胁。CSP 通过定义哪些资源(如脚本、样式、图片、字体等)可以被加载和执行,来限制网页中潜在的不安全内容。

通过使用 CSP,网站管理员可以减少跨站脚本攻击(XSS)、点击劫持(Clickjacking)等攻击的风险,并提高网站的安全性。

CSP 通过定义一系列策略指令来控制网页中允许加载的资源和执行的行为。这些策略指令可以通过 HTTP 响应头页面中的 meta 标签 来指定。

二、工作原理

CSP 通过 HTTP 响应头 Content-Security-Policy页面<meta>标签 来定义策略。浏览器会根据这些策略来决定是否加载或执行某些资源。

三、常见指令

以下是一些常见的 CSP 指令:

  1. default-src 定义默认的资源加载策略。如果没有为特定资源类型(如 script-srcstyle-src)设置策略,则使用 default-src 的值。

    Content-Security-Policy: default-src 'self';

  2. script-src 控制 JavaScript 脚本的加载来源。

    Content-Security-Policy: script-src 'self' https://example.com;

  3. style-src 控制 CSS 样式表的加载来源。

    Content-Security-Policy: style-src 'self' https://fonts.googleapis.com;

  4. img-src 控制图片资源的加载来源。

    Content-Security-Policy: img-src 'self' https://example.com;

  5. font-src 控制字体资源的加载来源。

    Content-Security-Policy: font-src 'self' https://fonts.gstatic.com;

  6. connect-src 控制 XMLHttpRequest、WebSocket 等连接的来源。

    Content-Security-Policy: connect-src 'self' https://api.example.com;

  7. frame-src 控制嵌入的 iframe 的来源。

    Content-Security-Policy: frame-src 'self' https://example.com;

  8. report-uri 指定一个 URI,当 CSP 策略被违反时,浏览器会向该 URI 发送报告。

    Content-Security-Policy: default-src 'self'; report-uri https://example.com/csp-report;

  9. report-toreport-uri 类似,但使用 Reporting API 来发送报告。

    Content-Security-Policy: default-src 'self'; report-to csp-endpoint;

  10. upgrade-insecure-requests 自动将 HTTP 请求升级为 HTTPS。

    Content-Security-Policy: upgrade-insecure-requests;

  11. block-all-mixed-content 阻止加载混合内容(即 HTTPS 页面中的 HTTP 资源)。

    Content-Security-Policy: block-all-mixed-content;

四、示例

以下是一个常见的 CSP 配置示例:

Content-Security-Policy:
  default-src 'self';
  script-src 'self' https://apis.google.com;
  style-src 'self' https://fonts.googleapis.com;
  img-src 'self' https://example.com;
  font-src 'self' https://fonts.gstatic.com;
  connect-src 'self' https://api.example.com;
  frame-src 'self' https://example.com;
  report-uri https://example.com/csp-report;

五、报告模式

如果你不想立即阻止违反 CSP 的行为,可以使用 Content-Security-Policy-Report-Only 头来仅报告违规行为,而不阻止它们。

Content-Security-Policy-Report-Only:
  default-src 'self';
  script-src 'self' https://apis.google.com;
  report-uri https://example.com/csp-report;

六、注意事项

  • 'self':表示允许从当前域名加载资源。
  • 'none':表示不允许加载任何资源。
  • 'unsafe-inline':允许内联脚本和样式(不推荐使用,因为会降低安全性)。
  • 'unsafe-eval':允许使用 eval() 等动态代码执行函数(不推荐使用)。

七、总结

CSP 是一种强大的安全机制,可以有效防止多种类型的攻击。通过合理配置 CSP,可以显著提高网站的安全性。然而,过于严格的 CSP 策略可能会导致网站功能受限,因此在实施 CSP 时需要仔细测试和调整。

除了这些指令,CSP 还支持其他一些指令和选项,用于进一步细化控制。

要使用 CSP 来加强网站的安全性,可以按照以下步骤进行:

  1. 创建一个 CSP 策略:定义一个包含适当策略指令的 CSP 策略。
  2. 配置 CSP 头:在服务器配置中,将 CSP 策略作为 HTTP 响应头的一部分发送给客户端。可以使用Content-Security-Policy标头或Content-Security-Policy-Report-Only标头(用于测试)。
  3. 测试和调试:在部署 CSP 之前,使用 CSP 报告功能来捕获违反策略的事件,并进行相应的调试和修复。
  4. 逐步部署和迭代:在实施 CSP 时,可以逐渐放宽策略并解决与现有内容或第三方资源的兼容性问题。

需要注意的是,实施 CSP 策略时要确保不影响网站的功能和用户体验。因此,在配置 CSP 策略之前,建议仔细评估网站的资源和功能,并进行充分的测试。

综上所述,使用 CSP 可以限制网页中的资源加载和操作行为,从而加强网站的安全性,并防止一些 Web 攻击。使用 CSP 时,应根据网站的具体需求和资源加载情况,制定合适的策略并进行适当的测试和调试。

更新日志

2025/8/24 08:17
查看所有更新日志
  • e7112-1